Názory k článku
Pod doménu gov.cz přesunulo weby už 18 úřadů

> V neposlední řadě státní správa ušetří registrační poplatky sdružení CZ.NIC za delegaci mnoha desítek domén 2. řádu.

Pevně doufám, že stávající budou platit dál... Jinak ten přesun nadělá více škody než užitku.

A hlavně, i kdyby těch domén měli sto, tak pro stát je cena za registraci naprosto pod rozlišovací schopnost.

Už vidím, že si uvolněné domény odchytí nějaký lump a rozjede na bývalých státních doménách porno nebo jinou kratochvíli. ;) Těch pár tisíc ročně fakt nikoho nezabije, když si uvědomím, kolik jinde stát prošustruje milionů/miliard...

Ty uvolněné domény by si pod sebe měla stáhnout DIA a provozovat na nich přesměrování. Jinak bude na těch úřadech každý projekt extra vysvětlovat, proč je potřeba platit závratnou částku 200 Kč ročně za něco, co nepoužívají. Pokud vůbec někomu v tom projektu dojde, že by se ta doména měla prodloužit.

No, a treba u NUKIBu ta migrace stale neni plne dokoncena a presto se v te tabulce chlubi, ze maji hotovo. Takze tech uradu je 17 a ne 18... tou fajfkou se chlubi stale neopravnene. Jeden by rekl, ze primo lzou... ;-)

sestřelit jednu doménu? Vždyť každý projekt je na své doméně? Nebo myslíš sestřelit TLD, tj. sestřelit co, nameservery? Nebo o čem mluvíš?

Vsadim se, ze to plati uplne pro vsechny, takze jich je ve skutecnosti presne 0. Ostatne presne stejne jako s IPv6.

tohle tam je spousty let, vzniklo to ještě dřív než Bartoš nastoupil

A tak vzhledem k tomu, ze aktualne ty nameservery pro gov.cz provozuji vicemene vedle sebe (v ramci jednoho autonomniho systemu, maximalne to jen maji oddelene do dvou segmentu) je ta pripominka vice nez na miste. Zvlast kdyz origin AS48298 ma krome (nejak podivne konfigurovaneho) peeringu v NIX.CZ jen jeden upstream, ze? ;-)

Trying "gov.cz" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32757 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 4;; QUESTION SECTION:
;gov.cz.                IN  NS;; ANSWER SECTION:
gov.cz.         2853    IN  NS  ns2.gov.cz.
gov.cz.         2853    IN  NS  ns1.gov.cz.;; ADDITIONAL SECTION:
ns1.gov.cz.     2853    IN  A   185.17.212.144
ns2.gov.cz.     2853    IN  A   185.17.212.129
ns1.gov.cz.     2853    IN  AAAA    2a01:5bc0:0:1­004::66
ns2.gov.cz.     2853    IN  AAAA    2a01:5bc0:0:2­004::66

Docasny problem to mozna je, ale jeho vyreseni se tahne uz nekolik mesicu. Pridani dalsiho NS, co bude provozovan v jine infrastrukture fakt neni zadna raketova veda. A tak hlavne ze mame dost lidi, co nam pise PR zpravy o tom, jak se "dari"... tem drobnym technickym detailum malokdo rozumi, tak proc se tim zabyvat, kdyz 99,99% casu se nic nedeje.

Problemum se ma predchazet, ne cekat az se ten pruser stane. Ono toho je na gov.cz vic, treba i emailove notifikace z noveho portalu obcana (nedavno predelavane)... ale poslat mail s DKIM podpisem to stale neumi. A tak hlavne ze mame to narizeni od NUKIBu... se kterym si zjevne i panove na DIA utreli zadek :-) Opet, nic sloziteho na zprovozneni.

Hmmmm, to je hluboká myšlenka...

tohle beru jako dočasný problém, snad to takhle neplánuji nechat napořád

Pokud se bude postupovat v souladu se zakonem, tak se neusetri ani haler, protoze je jasne receno, ze puvodni domeny maji zustat v provozu.

Par desetikorun se mozna vyhledove usetri na novych stanich vopicarnach. Coz se v utracenych stovkach miliard vazne projevi ...

"nevím co řeší"

Ja to vim ... NIC ...

Zadny zamestnanec statu nikdy nesahne na nic dokud k tomu nedostane nejaky oficielni 30 razitky opatreny pokyn.

Jakkoli si muzem o statnich ITcich myslet cokoli, tak viz RSD, tohle neni v jejich rezii, to je o sefovi. Kdyby za to mohli ITci, byly by se vsi paradou vykopnuti. Kdyz za to muze sef, zamete se to pod koberec. Naprosto jednoznacna indikace toho kdo za to muze.

A toto je presne totez.

Na druhou stranu, když půjdu na datovka.gov.cz (ať zvolí cokoliv), tak se nebudu vždy muset koukat, zda jsem na phisingovém URL, jako na dnešním mojedatovaschran­ka.cz.

To je docela důležité.

"Problemum se ma predchazet"

Jiste, ale to lze tam, kde je sef, ktery vi a rozumi, nebo alespon veri svym lidem a stoji za nimi. Coz je asi tak totez, jako potkat bilou vranu. A netyce se to zdaleka jen statu.

Dost casto je to totiz o tom, ze nejaky dodavatel za zcela nehorazne penize dodal nejaky "piece of shit" ... zato to ma 158 vsemoznych certifikaci, a kdyz do toho nekdo sahne a zmeni jeden bit, tak od toho dodavatel da ruce pryc na tema "vy ste se do toho hrabali".

Takze zatimco kazdy svepravny admin umi dkim rozjet za 5 minut, tak v pripade statu (a vsemoznych korporatu) se na to nejdriv musi za miliardu udelat analyza, pak se na to musi za 100k/MD najmout konzultant (zdravim CEZ), pak se to bude 1/2 roku testovat ... a pak se to podela.

Edit: Nedavno jeden muj zakaznik resil, ze mu nechodi nejaky ten spam. Dokonce mi predal mail od toho odesilatele, ktery tam psal, ze "muj" server vraci SPF fail, a ze si to ja mam spravit ... V te hlasce je pokud si pamatuju i link na web kde by to tem tupcum presne reklo co a jak udelat.

21. 3. 2024, 10:57 editováno autorem komentáře

Takže teď stačí potencionálnímu útočníkovi sestřelit jen jednu doménu, aby se složily weby celé státní správy...

Tim spis se to v zadnem pripadne v zadne dohledne dobe (tedy do okamziku kdy to nekdo sejme) nezmeni.

Nebo naopak, teď stačí nadimenzovat poskytování jedné zóny tak, aby ji jen tak sestřelit nešlo.

Pravidla se na úplně všechny provozované weby nevtahují, takže třeba u různých účelových či jednorázových stránek se s přesunem pod .gov ani nepočítá. Byť ten zmíněný případ u NÚKIB to asi není.

Je to konečné řešení navržené Bartošem a spol.

Jo, viděl jsem...

Mozna je, ale tady jde o to oznameni, ze se usetri.

až jim to někdo sestřelí, začnou se tím zabývat.

Jedna trasa, veřejně routují celou /22, to sám píšeš, nesmysl.

Tohle není nikterak těžké napravit, nevím co řeší, přitom mají celou 94.199.40.0/21 a už teď z ní směrují jednotlivé /24 samostatně, nic jim nebrání tam strčit ty NS. Je to plně v jejich implementaci.